文/搜狐IT 丁丁
素有中国黑客元老之称的goodwell日前对搜狐IT表示,由于全球超过2/3的网站使用开源的OpenSSL加密技术,近日被曝光的OpenSSL漏洞影响力将远远超过当年CSDN天涯等网站数据泄露事件。
SSL,全称Secure Socket Layer。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,用以保障在Internet上数据传输之安全。利用数据加密 (Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。OpenSSL的heartbleed漏洞据称在2012年就被发现, 但在今年4月7日才被正式编号收录。
goodwell称,正是因为这个heartbleed(心脏出血)漏洞2年前就已经被发现,这2年的时差足矣使黑客通过直接嗅探网站后台管理 地址,获得使用网站的后台管理权限。在获取这些网站的管理权限后,黑客可以很轻松地将网站用户数据信息打包“拖库”(窃取数据库)。对于敌对的国家,这一 网络安全漏洞甚至会影响国家安全。
据了解,尽管还有诸如TLS等加密技术,但由于OpenSSL开源免费,Apache、Nginx等网络服务器都使用了这一加密技术,全球受影响的网站超过2/3。包括Google、亚马逊、Facebook、Yahoo、GoDaddy、Instagram、 Pinterest等网站都受到不同程度的影响。乌云网的漏洞列表显示,国内的知名网站如京东、苏宁、腾讯微信等也受到了影响。
鉴于这一OpenSSL漏洞只影响网络服务器端,与个人的电脑安全性没有关系,goodwell对搜狐IT表示,对个人用户来讲,目前应该感觉 不到有什么问题,不会受到太多的重视。但从黑客的操作手法来看,一般对于网站数据库泄露事件,只有当这些数据库被黑客利用得没有价值了,才会有一部分在网 络上公开。当大网站的数据库泄露事件被公开时,才会引起人家的关注。
goodwell同时建议用户近期少登陆使用https协议的页面,如网银、网店等,并养成按时改密码的习惯。
近几年国内重大信息泄露事件一览:
2011年12月,CSDN、天涯等知名网站被曝后台用户数据曾被“拖库”,大约4600万用户的登陆账号被泄露。
2013年10月,包括如家、汉庭在内的多家酒店开房信息被泄露,约2000万人的开房信息被共享。
2013年11月,腾讯QQ群数据泄露事件被披露,大概有7000多万个QQ群,12亿多个QQ号码能被公开查询。
2014年3月,携程网服务器被曝存在漏洞,安全支付日志可遍历下载,大量用户银行卡信息被泄露。
转自 http://www.oschina.net/news/50652/openssl-csdn-ctrip-user-data-leak